|
C:\Stealer.exe Hay leute mir ist heute was aufgefallen : ich habe folgene dateien die NICHT von mir kommen : C:\Stealer.exe , C:\Copie de server .. die 2 textdokumente kommen bestimmt von einen prog. auf mein pc : C:\myfile.txt , C:\RecorderSDKLog.txt kennnt das jemand ?? ich habe AntiVir Free , CCleaner und Malwarebytes Anti-Malware.. schon mal THX mfg. cäptencool:daumenhoc |
Hallo cäptencool und :hallo: lade doch mal die beiden .exe-Dateien hier hoch: VirusTotal - Kostenloser online Viren- und Malwarescanner Und poste anschließend die Ergebnisse. Arbeite bitte anschließend folgende Liste ab Punkt 2 ab: http://www.trojaner-board.de/69886-a...-beachten.html Poste bitte alle anfallenden Logfiles. Gruß Handball10 |
danke für die schnelle antwort also der stealer hat folgenes ergebniss : h**p://www.virustotal.com/de/analisis/ebe186f76f8ce8b3e6938bc3ccae2f8b40da7892978e931e2bf2eca007bfd3ea-1251141798 vom server ist das ergebniss : h**p://www.virustotal.com/de/analisis/5b702d836af37bf43d14007790301638865cdd470501657884c6bcc8bf729ee8-1251141933 .. ich arbeite mich jetzt am punkt 2 durch ... |
Die Links funktionieren nicht... poste das Ergebnis hier rein. Inklusive aller Angaben (MD5, Sha....) Gruß Handball10 |
Also Stealer : Datei Stealer.exe empfangen 2009.08.24 19:12:49 (UTC) Status: Beendet Ergebnis: 14/41 (34.15%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.08.24 Net-Worm.Win32.Kolab!IK AhnLab-V3 5.0.0.2 2009.08.24 - AntiVir 7.9.1.3 2009.08.24 - Antiy-AVL 2.0.3.7 2009.08.24 Trojan/Win32.Agent.gen Authentium 5.1.2.4 2009.08.23 - Avast 4.8.1335.0 2009.08.24 Win32:Trojan-gen {Other} AVG 8.5.0.406 2009.08.24 Generic14.ZYN BitDefender 7.2 2009.08.24 - CAT-QuickHeal 10.00 2009.08.24 TrojanPSW.Dybalom.dx ClamAV 0.94.1 2009.08.24 - Comodo 2083 2009.08.24 - DrWeb 5.0.0.12182 2009.08.24 BackDoor.IRC.Bot.127 eSafe 7.0.17.0 2009.08.24 - eTrust-Vet 31.6.6697 2009.08.24 - F-Prot 4.4.4.56 2009.08.23 - F-Secure 8.0.14470.0 2009.08.24 - Fortinet 3.120.0.0 2009.08.24 - GData 19 2009.08.24 Win32:Trojan-gen {Other} Ikarus T3.1.1.68.0 2009.08.24 Net-Worm.Win32.Kolab Jiangmin 11.0.800 2009.08.23 Trojan/Refroso.lw K7AntiVirus 7.10.826 2009.08.24 - Kaspersky 7.0.0.125 2009.08.24 - McAfee 5719 2009.08.24 - McAfee+Artemis 5719 2009.08.24 - McAfee-GW-Edition 6.8.5 2009.08.24 - Microsoft 1.4903 2009.08.24 - NOD32 4364 2009.08.24 Win32/Kolab.DNK Norman 2009.08.24 W32/Malware.ICUA nProtect 2009.1.8.0 2009.08.24 - Panda 10.0.0.14 2009.08.24 - PCTools 4.4.2.0 2009.08.24 - Prevx 3.0 2009.08.24 - Rising 21.43.62.00 2009.08.24 - Sophos 4.44.0 2009.08.24 - Sunbelt 3.2.1858.2 2009.08.24 - Symantec 1.4.4.12 2009.08.24 - TheHacker 6.3.4.3.386 2009.08.22 - TrendMicro 8.950.0.1094 2009.08.24 - VBA32 3.12.10.9 2009.08.24 Trojan.Win32.Refroso.fyk ViRobot 2009.8.24.1899 2009.08.24 Trojan.Win32.Agent.380928.F VirusBuster 4.6.5.0 2009.08.24 Trojan.Ceeinject.Gen weitere Informationen File size: 50688 bytes MD5 : fb67f73f76a7f9bea8e5e8779443ef86 SHA1 : b2c1df9ac7021f6f6aa9b5c07b066c760bad5110 SHA256: ebe186f76f8ce8b3e6938bc3ccae2f8b40da7892978e931e2bf2eca007bfd3ea PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x44CA timedatestamp.....: 0x4A8AFDF3 (Tue Aug 18 21:16:03 2009) machinetype.......: 0x14C (Intel I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x36AE 0x3800 5.91 37eef84849e6cf7d1d5881ce12c17af9 .rdata 0x5000 0x85A 0xA00 4.62 945c8d509feda2c135d2dd62a4332164 .data 0x6000 0xB40 0x800 5.99 88fdf6d9973f83cdba1e2d8282f829ab .rsrc 0x7000 0x7770 0x7800 7.48 f2dc4cf81570a0a35592886934572035 ( 5 imports ) > kernel32.dll: GetModuleHandleA, GetStartupInfoA, CreateThread, Sleep > msvcp60.dll: __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIPBDII@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, _replace@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@IIABV12@II@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z > msvcrt.dll: sprintf, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _EH_prolog, strcat, atoi, strlen, _except_handler3, memcpy, memset, __2@YAPAXI@Z, _stricmp, malloc, getenv, memmove, strcmp, __CxxFrameHandler > ole32.dll: CoInitialize > user32.dll: SendMessageA, SetFocus, ShowWindow, MessageBoxA, PostQuitMessage, DestroyWindow, DefWindowProcA, UnregisterClassA, DispatchMessageA, CreateWindowExA, TranslateMessage, GetMessageA, LoadCursorA, RegisterClassExA ( 0 exports ) TrID : File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 1536:dnpbxGJLb03wvUxzLRWZRrGzdR8nSDyl8gc:PxG5b03hxPRcczgm PEiD : - RDS : NSRL Reference Data Set - Server : Datei Copie_de_server.exe empfangen 2009.08.24 19:16:56 (UTC) Status: Beendet Ergebnis: 12/41 (29.27%) Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.08.24 Trojan-Downloader.Win32.Pher!IK AhnLab-V3 5.0.0.2 2009.08.24 - AntiVir 7.9.1.3 2009.08.24 - Antiy-AVL 2.0.3.7 2009.08.24 Trojan/Win32.Refroso.gen Authentium 5.1.2.4 2009.08.23 - Avast 4.8.1335.0 2009.08.24 Win32:Inject-UX AVG 8.5.0.406 2009.08.24 Dropper.Generic.AVEN BitDefender 7.2 2009.08.24 - CAT-QuickHeal 10.00 2009.08.24 - ClamAV 0.94.1 2009.08.24 - Comodo 2083 2009.08.24 - DrWeb 5.0.0.12182 2009.08.24 BackDoor.Bifrost.8 eSafe 7.0.17.0 2009.08.24 - eTrust-Vet 31.6.6697 2009.08.24 - F-Prot 4.4.4.56 2009.08.23 - F-Secure 8.0.14470.0 2009.08.24 - Fortinet 3.120.0.0 2009.08.24 - GData 19 2009.08.24 - Ikarus T3.1.1.68.0 2009.08.24 Trojan-Downloader.Win32.Pher Jiangmin 11.0.800 2009.08.23 Trojan/Refroso.lv K7AntiVirus 7.10.826 2009.08.24 - Kaspersky 7.0.0.125 2009.08.24 - McAfee 5719 2009.08.24 - McAfee+Artemis 5719 2009.08.24 - McAfee-GW-Edition 6.8.5 2009.08.24 Heuristic.LooksLike.Trojan.Dldr.FakeVimes.C Microsoft 1.4903 2009.08.24 VirTool:Win32/CeeInject.gen!AJ NOD32 4364 2009.08.24 a variant of Win32/Injector.XH Norman 2009.08.24 - nProtect 2009.1.8.0 2009.08.24 - Panda 10.0.0.14 2009.08.24 - PCTools 4.4.2.0 2009.08.24 - Prevx 3.0 2009.08.24 - Rising 21.43.62.00 2009.08.24 - Sophos 4.44.0 2009.08.24 - Sunbelt 3.2.1858.2 2009.08.24 - Symantec 1.4.4.12 2009.08.24 - TheHacker 6.3.4.3.386 2009.08.22 - TrendMicro 8.950.0.1094 2009.08.24 - VBA32 3.12.10.9 2009.08.24 Trojan-Downloader.Win32.Agent.cmsb ViRobot 2009.8.24.1899 2009.08.24 - VirusBuster 4.6.5.0 2009.08.24 Trojan.Ceeinject.Gen.3 weitere Informationen File size: 196096 bytes MD5 : 314dac89a26fe8041b007dd44ef938aa SHA1 : 67d545ccb2a3a2db4d5cbfc148574f9bfec722b7 SHA256: 5b702d836af37bf43d14007790301638865cdd470501657884c6bcc8bf729ee8 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4A84 timedatestamp.....: 0x4A8AFE36 (Tue Aug 18 21:17:10 2009) machinetype.......: 0x14C (Intel I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3C7F 0x3E00 5.74 a73147c0de5a8bef67f0871423d543f5 .rdata 0x5000 0x950 0xA00 4.97 7e63d08dfa03a5a7d90e2fdcafc451aa .data 0x6000 0xB40 0x800 5.92 7e6a4b28e8dd8f1d188b4ef78f3c8ac3 .rsrc 0x7000 0x2A970 0x2AA00 7.96 95af691038235f0bc46b57b3868a1fa6 ( 5 imports ) > kernel32.dll: GetModuleHandleA, GetStartupInfoA, CreateThread, Sleep > msvcp60.dll: __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV_$allocator@D@1@@Z, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIABV12@I@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBDABV_$allocator@D@1@@Z, _length@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, _c_str@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEPBDXZ, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, _size@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ, _replace@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@IIABV12@@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB > msvcrt.dll: __2@YAPAXI@Z, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, __CxxFrameHandler, strcat, atoi, strlen, _except_handler3, memcpy, memset, _stricmp, sprintf, malloc, getenv, memmove, strcmp > ole32.dll: CoInitialize > user32.dll: SendMessageA, ShowWindow, SetFocus, MessageBoxA, DefWindowProcA, PostQuitMessage, DestroyWindow, UnregisterClassA, DispatchMessageA, TranslateMessage, GetMessageA, CreateWindowExA, LoadCursorA, RegisterClassExA ( 0 exports ) TrID : File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 3072:jl2B4bFf0aVNdpzl3eRmEQW5ugrnOYROyeWImW/WCHHUIinfIHPK0KkVgunuI9Sy:B2B4bFfbVNdp50ms5ukT2UWuU0IiboV9 PEiD : - RDS : NSRL Reference Data Set - |
Malwarebytes' Anti-Malware 1.40 Datenbank Version: 2610 Windows 5.1.2600 Service Pack 3 24.08.2009 21:34:55 mbam-log-2009-08-24 (21-34-55).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 155916 Laufzeit: 14 minute(s), 26 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: C:\Dokumente und Einstellungen\Dustin\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Dustin\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully. |
hi, die Ergebnisse gehen im Endeffekt auf ein Neuaufsetzen aus... Code: DrWeb 5.0.0.12182 2009.08.24 BackDoor.IRC.Bot.127http://www.trojaner-board.de/54791-a...ner-board.html Der sicherste Weg ist Neuaufsetzen: http://www.trojaner-board.de/51262-a...sicherung.html Ändere anschließend ALLE dein Passwörter! Zum Thema → dein "Freund" ist das hier: Bifrost (trojan horse) - Wikipedia, the free encyclopedia Viel Erfolg. Gruß Handball10 |
Setze den Rechner neu auf, ändere alle deine Passwörter und Pass auf, was du dir im netz so runterlädst. Bifrost "fliegt" nicht auf den Rechner wie Heike so schon sagt. Bata |
aba ich lad mir immer alles von Chip oder so .... und von keinen seiten wo ich mir nicht sicher bin .. // hat den jetzt irgendein sack meine pws ?? |
Zitat:
und ja und deine Bilder, deine word/Excel/sonstigen Dokumente und wenn er will Mitschnitte deines Mikrophones. Aber das wollen die eher selten. Über das Einfallstor musst du dir Gedanken machen und vorsorge treffen. Emails/USB sticks oder das internet halt. Bata |
jah sry ich nimm meistens die kürzeste form .. na tolle scheiße eyy .. naja werd dann morgen damit anfangen DANKE an euch ...schon wider nur abend mit schlechten nachrichten |
erstmal danke für eure Hilfe !! ich habe mein System neu aufgesetzt ... und habe mal nachgesehen ich habe keine stealer exe mehr :party: aber ist die exe jetzt wircklich weg oder muss ich noch irgendwas tun ? |
Wenn du nacch der Anleitung neuaufgesetzt hast, dann ist dein Bifrost weg. Kannst ja nochmal zur sicherheit MalwareBytes AntiMalware herunterladen und ausführen... Gruß Handball10 |
Das wichtigste ist nachdem Formatieren das Absichern des Systems ,damit das nicht nocheinmal passiert. Denke auch daran,die Brain.exe in System Ordner abzulegen. Ist das wichtigste überhaupt^^. Naja,man darf ja nicht mit Steinen werfen, wenn man im Glashaus sitzt:kloppen: MFG, Black |
Für mich wäre das wichtigste, die Passwörter zu ändern... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board